كشف الشذوذ لحماية بوتات التداول: من Z-Score إلى Transformer

كل من شغّل بوت تداول على منصات العملات المشفرة يعرف هذا الشعور: يعمل البوت بشكل مثالي لمدة أسبوع، ثم يمحو أرباح أسبوع كامل في 30 ثانية. انهيار خاطف في إحدى المنصات. جدار وهمي في دفتر الأوامر. شلال تصفية. أو أن المنصة ببساطة أعادت بيانات غير صالحة.

كل هذه الحالات تشترك في شيء واحد — إنها شذوذات. وإذا لم يستطع البوت التعرف عليها، فسيصبح عاجلاً أم آجلاً ضحيتها.

ما الذي يُعتبر شذوذاً في تداول العملات المشفرة

قبل مطاردة الشذوذات، نحتاج إلى الاتفاق على ما نبحث عنه. يميّز التعلم الآلي ثلاثة أنواع، وجميعها تحدث يومياً في أسواق العملات المشفرة.

الشذوذات النقطية (Point anomalies) — أحداث معزولة تنحرف بشكل حاد عن المعتاد. شمعة بحجم تداول يفوق المتوسط 50 مرة. ارتفاع سبريد BTC/USDT على Binance إلى 0.5%. بالنسبة لبوت صناعة السوق، كل حدث من هذا النوع هو فخ محتمل: الدخول في مركز بسعر وهمي أو التعرض لانزلاق سعري يلتهم الهامش بالكامل.

الشذوذات الجماعية (Collective anomalies) — سلسلة من الأحداث تبدو طبيعية فردياً لكنها تشير إلى مشكلة مجتمعة. المثال الكلاسيكي هو التحايل (spoofing): شخص ما يضع ويلغي أوامر حد كبيرة على مدار عدة دقائق. كل أمر فردي عادي، لكن نمط "وضع-إلغاء-وضع-إلغاء" بنسبة أوامر إلى صفقات تبلغ 100:1 هو تلاعب بالسوق — وسيتداول البوت الذي يعتمد على عمق دفتر الأوامر على سيولة غير موجودة.

الشذوذات السياقية (Contextual anomalies) — قيمة طبيعية في السياق الخاطئ. حجم تداول Bitcoin المعتاد لجلسة لندن، لكنه يُلاحظ في الساعة 3 صباحاً بتوقيت UTC يوم الأحد. بدون مراعاة السياق، تكون هذه الشذوذات غير مرئية — وهي الأكثر تسللاً عبر أجهزة الكشف الأساسية.

تصور لأنواع الشذوذات الثلاثة الرئيسية في بيانات التداول: القفزات النقطية، والأنماط الجماعية، والانحرافات السياقية.

الضوضاء مقابل الشذوذ: مشكلة السياق

الشذوذ ليس مجرد "بيانات غريبة". إنه انحراف يحمل معلومات. من الضروري التمييز بين:

• الضوضاء: تقلبات عشوائية هي جزء من النظام السوقي الطبيعي.
• الانجراف: تحول تدريجي في ظروف السوق (مثل الانتقال من ليل منخفض التقلب إلى صباح نشط).
• الشذوذ: انتهاك مفاجئ للنمط المتوقع.

تحديد الفرق بين الضوضاء غير الضارة، والانجراف المستمر، والشذوذات الخطيرة هو التحدي الرئيسي لأي كاشف.

أساليب بسيطة تحل 80% من المشاكل

ليس كل شيء يحتاج إلى حل بالشبكات العصبية. ثلاثة كواشف أساسية تكفي لمعظم بوتات التداول.

Z-Score: مرشح سريع للقيم المتطرفة

يُظهر Z-Score كم انحرافاً معيارياً تبتعد القيمة الحالية عن المتوسط المتحرك. يُحسب في ميكروثوانٍ، ويعمل على أي إطار زمني.

نستخدمه لثلاث مهام: تصفية الحجم غير الطبيعي (Z-Score > 3 — إشارة لتوسيع السبريد أو إيقاف التسعير)، مراقبة السبريد (اتساع bid-ask غير الطبيعي غالباً ما يسبق حركات حادة)، معدل تمويل العقود الآجلة (القيم المتطرفة تحذر من شلال تصفية محتمل).

يحدد Z-Score الأحداث المتطرفة عن طريق قياس عدد الانحرافات المعيارية التي تبعد نقطة ما عن المتوسط. تُعامل القيم التي تتجاوز ±3σ كقيم شاذة في معظم أنظمة التداول.

قيد مهم: أسواق العملات المشفرة لديها توزيعات ذيل ثقيل. حدث يجب أن يقع مرة كل مليون سنة وفقاً للتوزيع الطبيعي (6σ) يحدث شهرياً في العملات المشفرة. لذا فإن Z-Score هو مرشح شذوذ تقريبي، وليس حكماً نهائياً.

كاشف انزياح المستوى: عندما يغيّر السوق نظامه

نأخذ نافذتين متحركتين متتاليتين ونقارن متوسطاتهما. إذا تجاوز الفرق عتبة معينة — فقد حدث انزياح في المستوى. استراتيجيات صناعة السوق تربح في سوق مستقر وتخسر أثناء الحركات الحادة. كاشف انزياح المستوى على الحجم والتقلب يحذر من تغيير النظام قبل دقائق من أن يصبح واضحاً في السعر.

نطبقه على عدة مقاييس في وقت واحد: متوسط حجم الصفقة، عمق دفتر الأوامر عند أول 5 مستويات، عدد الصفقات لكل وحدة زمنية. إذا تم تفعيل كاشف انزياح المستوى على مقياسين على الأقل — ينتقل البوت إلى الوضع الدفاعي.

كاشف انزياح التقلب: استشعار العاصفة

نهج مشابه، لكن يتم مقارنة الانحرافات المعيارية بدلاً من المتوسطات. الارتفاع الحاد في التقلب هو إشارة لإعادة النظر في المعاملات. نمط مثير للاهتمام: التقلب المنخفض بشكل غير طبيعي غالباً ما يسبق حركة انفجارية. كاشف انزياح التقلب يلتقط كلتا الحالتين — الانضغاط والتوسع.

كاشفا انزياح المستوى وانزياح التقلب هما المفتاح لتحديد "تغييرات النظام" — التحولات الهيكلية المفاجئة في سلوك السوق التي تتطلب معاملات تداول مختلفة.

HBOS: تحليل متعدد الأبعاد سريع

عندما تحتاج إلى مراقبة أكثر من 10 مؤشرات في وقت واحد دون تكلفة ML المعقد، فإن HBOS (Histogram-Based Outlier Selection) هو الخيار الأفضل. يفترض استقلالية الميزات ويبني مدرجاً تكرارياً لكل منها. درجة الشذوذ هي حاصل ضرب الكثافات العكسية عبر جميع المدرجات.

HBOS أسرع بشكل ملحوظ من الأساليب القائمة على المسافة مثل LOF، مما يجعله مناسباً للتصفية عالية التردد لمتجهات الحالة متعددة الأبعاد.

التعلم الآلي: عندما لا تكفي الإحصائيات

الأساليب الأساسية تعمل على مؤشر واحد في كل مرة. لكن الشذوذات الحقيقية غالباً ما تتجلى كمجموعة غير عادية من المؤشرات: الحجم طبيعي، السبريد طبيعي، لكن الحجم + السبريد + معدل تغير السعر + عدم توازن دفتر الأوامر معاً — شاذة. هنا يُحتاج إلى ML.

مشهد منظم لأساليب كشف الشذوذ: من الخوارزميات الكلاسيكية غير الخاضعة للإشراف إلى هندسات التعلم العميق.

Isolation Forest: أفضل توازن للإنتاج

من بين جميع أساليب ML لكشف الشذوذ، يناسب Isolation Forest أنظمة التداول بشكل أفضل. تبني الخوارزمية مجموعة من أشجار القرار التي تقسم فضاء الميزات عشوائياً. النقاط الشاذة، كونها "نادرة ومختلفة"، يتم عزلها بعدد أقل من التقسيمات.

لماذا Isolation Forest؟ لا يتطلب بيانات مصنفة — تصنيف الشذوذات في أسواق العملات المشفرة شبه مستحيل عملياً لأن كل انهيار خاطف فريد. الاستدلال السريع بالمللي ثانية يجعل الاستخدام شبه الفوري ممكناً. والأهم للإنتاج: يمكن شرح التنبؤات عبر قيم SHAP — لا تعرف فقط أن لحظة ما شاذة، بل تفهم لماذا.

على بيانات Bitcoin، اكتشف Isolation Forest ليس فقط الشذوذات الواضحة مثل ارتفاع التقلب عندما رفضت Tesla مدفوعات BTC في 2021، بل أيضاً الشذوذات الدقيقة — الفترات التي لم تكن فيها حركات الأسعار مدعومة بالحجم، مما يشير إلى تلاعب خارجي. عند تحليل التحايل، يُظهر SHAP أن المؤشرات الرئيسية هي عروض أسعار دفتر الأوامر غير المتوازنة ونشاط الإلغاء المرتفع بشكل غير طبيعي.

تعمل خوارزمية Isolation Forest عن طريق تقسيم الفضاء عشوائياً: يتم عزل القيم الشاذة بعدد أقل بكثير من التقسيمات مقارنة بالنقاط في التجمعات الكثيفة.

LOF: الخيار الأفضل لمراقبة المنصات المتعددة

يُقيّم Local Outlier Factor شذوذ نقطة ما بمقارنة كثافتها المحلية مع كثافة جيرانها. وجدت دراسة (Springer, 2024) قارنت LOF وIsolation Forest وOne-Class SVM على بيانات العملات المشفرة أن LOF كان الأكثر فعالية — وجد شذوذات حقيقية بأقل عدد من الإيجابيات الكاذبة، وأدى بشكل مستقر على كل من Bitcoin وDogecoin.

لماذا يهم LOF للبنية التحتية متعددة المنصات؟ البيانات من منصات مختلفة لها "كثافة" مختلفة — Binance ترى آلاف الصفقات في الثانية، منصة متخصصة ترى عشرات. الأساليب العامة مثل Z-Score ستنتج إيجابيات كاذبة على المنصات المتخصصة أو تفوّت شذوذات على المنصات الكبيرة. LOF يتكيف مع السياق المحلي.

يقارن LOF الكثافة المحلية لنقطة ما مع جيرانها. هذا يسمح له بإيجاد قيم شاذة "محلياً" حتى لو كانت متسقة مع أنماط البيانات العامة.

القيد هو التعقيد التربيعي بالنسبة لعدد النقاط. بالنسبة لبيانات مستوى التك في الوقت الفعلي فهو بطيء جداً، لكن للتجميعات الدقيقة عبر أكثر من 100 منصة — مثالي.

المشفّر التلقائي: تحليل عميق لدفتر الأوامر

المشفّر التلقائي هو شبكة عصبية تضغط البيانات في تمثيل مضغوط وتعيد بناءها. يُدرَّب على بيانات "طبيعية"، ثم يشير خطأ إعادة البناء العالي إلى شذوذ.

لتحليل دفتر الأوامر هذه هي الأداة الأقوى. دفتر أوامر به 20 مستوى bid و20 مستوى ask هو متجه بـ40 بُعداً يُحدَّث مئات المرات في الثانية. المشفّر التلقائي LSTM لا يأخذ في الاعتبار الحالة الحالية فقط بل الديناميكيات — كيف تغير دفتر الأوامر خلال آخر N علامة. نهج "المشفّر التلقائي LSTM + One-Class SVM" الهجين يفصل المسؤوليات: الشبكة العصبية تتولى استخراج الميزات، وML الكلاسيكي يتولى اتخاذ القرار. العيب الرئيسي هو التكلفة الحسابية: الاستدلال في الوقت الفعلي يتطلب GPU.

يتعلم المشفّر التلقائي تمثيلاً "كامناً" مضغوطاً للبيانات الطبيعية. الشذوذات تفشل في إعادة البناء بدقة، مما ينتج درجة خطأ عالية تُستخدم للكشف.

الهندسة المتعاقبة: تجميع كل شيء معاً

لا توجد طريقة واحدة تحل جميع المشاكل. الأساليب السريعة تفوّت الشذوذات المعقدة. الأساليب الدقيقة بطيئة جداً للوقت الفعلي. الحل هو هندسة متعاقبة حيث تلتقط كل طبقة لاحقة ما فاتته الطبقة السابقة.

هندسة كشف شذوذ متعددة الطبقات: من حدود صارمة بالمللي ثانية إلى تحليل التعلم العميق في الخلفية.

الطبقة 1 — المسار السريع (أقل من 1 مللي ثانية). Z-Score على الحجم والسبريد وتغير السعر. فحص الاستمرارية. حدود صارمة. عند التفعيل — إيقاف التداول فوراً. هذه الطبقة تحمي من الانهيارات الخاطفة وأخطاء API والتلاعبات الخشنة. تُنفذ في الحلقة الرئيسية للبوت دون اعتماديات خارجية.

الطبقة 2 — شبه الوقت الفعلي (1-100 مللي ثانية). Isolation Forest على ميزات مجمعة. كاشفا انزياح المستوى وانزياح التقلب. عند التفعيل — تبديل وضع التداول، تعديل المعاملات. يعمل في خيط متوازٍ.

الطبقة 3 — التحليل في الخلفية (1-60 ثانية). LOF على بيانات المنصات المتعددة. المشفّر التلقائي LSTM على حالات دفتر الأوامر. تحليل بقايا التفكيك الموسمي. عند التفعيل — تنبيهات، تعديل معاملات الاستراتيجية.

الطبقة 4 — التحليل الدفعي (كل ساعة/يومياً). DBSCAN لكشف التداول الوهمي. PCA لمراقبة الارتباط عبر المنصات. إعادة تدريب كاملة للنموذج. المخرجات — تقارير، تحديثات النماذج، إعادة معايرة العتبات للطبقات السابقة.

كل طبقة تعمل بشكل مستقل. إذا تعطلت الطبقة 3 — تستمر الطبقتان 1 و2 في حماية البوت. التسامح مع الأخطاء والتدهور الرشيق هما خاصيتان إلزاميتان لأي بنية تحتية للتداول.

توصيات عملية

بعض الدروس من الإنتاج.

ابدأ بالبسيط. Z-Score + كاشف انزياح المستوى + كاشف انزياح التقلب يمكن تنفيذها في يوم واحد. هذا يغطي غالبية سيناريوهات الخسارة الناتجة عن ظروف السوق غير الطبيعية. مجموعة GPU يمكن أن تأتي لاحقاً.

معامل Contamination هو أهم معامل فائق. في Isolation Forest يحدد النسبة المتوقعة من الشذوذات. لأسواق العملات المشفرة نستخدم 0.01-0.05 حسب الزوج والمنصة. منخفض جداً — ستفوّت شذوذات حقيقية. مرتفع جداً — الإيجابيات الكاذبة تشل التداول.

عتبات تكيفية بدلاً من ثابتة. أسواق العملات المشفرة غير مستقرة. عتبة عملت في يناير ستولّد إيجابيات كاذبة في مارس. استخدم EWMA لتحديث العتبات، أو أعد تدريب النماذج دورياً على نافذة متحركة.

سجّل جميع الشذوذات. حتى لو لم تتفاعل تلقائياً — احفظ التسمية مع السياق. خلال شهر سيكون لديك مجموعة بيانات لتدريب نماذج خاضعة للإشراف وتحليل أي الشذوذات سبقت الخسائر.

اختبر على حوادث حقيقية. أنشئ مجموعة من الشذوذات التاريخية: الانهيار الخاطف في مايو 2021، شلال تصفية FTX، انهيار LUNA. شغّل كل كاشف جديد عبر هذه السيناريوهات. إذا لم يلتقط الحوادث المعروفة — فهو عديم الفائدة.

ما التالي

ثلاثة اتجاهات تستحق المتابعة.

نماذج قائمة على Transformer لدفاتر الأوامر. تُظهر الأبحاث الحديثة أن المشفّر التلقائي Transformer + OC-SVM على بيانات Limit Order Book يتفوق بشكل ملحوظ على جميع المقاربات السابقة لكشف التحايل. حقق Staged Sliding Window Transformer على بيانات EUR/USD عالية التردد (315 مليون سجل) دقة 0.93، F1 بقيمة 0.91، AUC-ROC بقيمة 0.95 — أفضل بكثير من Random Forest وLSTM وCNN.

هندسات Transformer مع الانتباه متعدد الرؤوس تثبت قدرة استثنائية في تحديد الأنماط الزمنية المعقدة في بيانات Limit Order Book عالية التردد.

شبكات GAN لتوليد شذوذات اصطناعية. أحد التحديات الرئيسية هو نقص البيانات المصنفة. يمكن لشبكات GAN توليد سيناريوهات تلاعب واقعية لتدريب نماذج خاضعة للإشراف. توجد بالفعل هندسات تحقق دقة 94.7% مع تأخير أقل من 3 مللي ثانية وإنتاجية 150,000 معاملة في الثانية.

يمكن استخدام شبكات GAN (الشبكات التوليدية التنافسية) لتعزيز مجموعات البيانات عن طريق إنشاء شذوذات اصطناعية واقعية، مما يحل مشكلة ندرة التسميات الحرجة في التداول.

كشف نقاط التغيير (CPD). بدلاً من مجرد البحث عن القيم الشاذة، يركز CPD على تحديد اللحظة الدقيقة التي تغيرت فيها الخصائص الإحصائية للإشارة. هذا أمر حاسم للتبديل بين أنظمة صناعة السوق (مثل الانتقال من العودة إلى المتوسط إلى متابعة الاتجاه).

كشف نقاط التغيير يحدد التحولات الهيكلية في بيانات السلاسل الزمنية، مسلطاً الضوء على الحدود بين أنظمة السوق المختلفة.

كشف الشذوذ ليس ميزة اختيارية. إنه الأساس الذي بدونه يتحول التداول الخوارزمي إلى مقامرة. وكلما أسرعت في بنائه، قلّت الدروس المكلفة التي سيحتاج السوق لتعليمك إياها.

المراجع

1. Anomaly detection in cryptocurrency markets using Isolation Forest
2. LOF: Identifying local outliers in high dimensional space
3. Isolation Forest for Anomaly Detection (Sklearn Documentation)
4. PyOD: A Comprehensive Python Toolbox for Outlier Detection
5. Transformer-based models for Limit Order Book anomaly detection
6. Ethical Issues and Market Manipulation in Cryptocurrency

الاقتباس

@software{soloviov2026anomalydetectionalgotrading,
  author = {Soloviov, Eugen},
  title = {Anomaly Detection for Trading Bot Protection: From Z-Score to Transformer},
  year = {2026},
  url = {https://marketmaker.cc/ar/blog/post/anomaly-detection-algotrading},
  version = {0.1.0},
  description = {Which anomaly detection methods actually work in crypto algo trading, how to build a cascading protection architecture, and why this is the foundation without which algo trading becomes gambling.}
}